病毒常用方法之下蛋

最新推荐文章于 2023-06-22 14:15:01 发布
最新推荐文章于 2023-06-22 14:15:01 发布
阅读量177 收藏
点赞数
分类专栏: c/c++ 文章标签: 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/79511090
版权

恶意文件有时会通过资源(resource)来携带一些其他的子文件。一般的资源有图标,对话框等(可以去查看关于FindResoure的文档)。好像可以自己定义资源的种类!下面是如何从母文件中提取子文件的方法:

    long SizeOfImage=0;
    DWORD NumOfWrittenBytes;
    HANDLE hFile;
    HGLOBAL hResData;
    HMODULE hExe;
    HRSRC hResInfo;

    hExe=LoadLibrary("完整的母文件名"); //加扩展名
    if(NULL==hExe)
    {
        printf("LoadLibrary err!");
        return 0;
    }
    //FindResource(_In_opt_ HMODULE hModule,_In_ LPCTSTR lpName,_In_ LPCTSTR lpType)
    hResInfo=FindResource(hExe," "," ");//找资源,就是查看是否有相关资源
    if(NULL==hResInfo)
    {
        printf("FindResource err!");
        return 0;
    }
    SizeOfImage=SizeofResource(hExe,hResInfo);//获取资源大小

    if(0==SizeOfImage)
    {
        printf("SizeofResource err!");
        return 0;
    }
    printf("the size of file:%d\n",SizeofImage);
    hResData=LoadResource(hExe,hResInfo);//加载资源
    if(NULL==hResData)
    {
        printf("LoadResouce err!"); 
        return 0;
    }
    if(!LockResource(hResData))
    {
    printf("lock resource err!\n");
    return 0;
    }
    //printf("%x ",*(DWORD *)hResData);
    //有的资源数据可能经过了一些处理加密,这里将资源读出来之后还差一步解密

    hFile=CreateFile("文件名",0x0c0000000,0,0,2,0,0); 
    if(!hFile)
    {
        printf("create file err!\n");
        return 0;
    }
    if(!SetFilePointer(hFile,0,0,0))&&
       !(WriteFile(hFile,hResData,SizeOfImage,
 &NumOfWrittenBytes,0))  
    {
        printf("write file err!\n");
        return 0;
    }
    CloseHandle(hFile);
pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
熊猫烧香病毒实验
u014089681的专栏
07-16 8655
试验环境:Oracle VM VirtualBox虚拟机下Windows7 32位系统。 一、实验步骤 1.备份虚拟机 2.断开网络驱动器 3.打开PowerTool监视进程 4.运行熊猫烧香病毒   二、具体实验操作步骤及中毒表现 刚一运行熊猫烧香病毒windows便立刻出现如下提示: 打开任务管理器发现一个svo0lsv.exe进程。 更改文件夹选项,显示所有文件夹
号称病毒之王的“熊猫烧香”详细分析
Test网络安全
09-12 1万+
01-样本概况 1.1-样本信息 基本信息 文件: C:\Users\15pb-win7\Desktop\xiongmao.exe 大小: 30001 bytes 修改时间: 2018年7月14日, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 1.在系统目录下生成病毒程序
病毒分析】——熊猫烧香 && 专杀工具C源码
VI___
11-28 4838
最近忙里偷闲,将自己分析过的一些病毒记录一下,一是给刚入门的小白有个借鉴,二是不让自己写博客的习惯停下来。 一、基本信息 FileName panda.exe Type 感染型病毒 Size 30001 bytes MD5 512...
熊猫烧香病毒分析报告
w_g3366的博客
09-07 2068
文章目录熊猫烧香病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 主要行为概述2.具体行为分析2.1 主要行为2.2 恶意代码分析2.2.1 加固后的恶意代码树结构图2.2.2 恶意程序的代码分析片段3.解决方案(或总结)3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤3.3 熊猫专杀工具 熊猫烧香病毒分析报告 1.样本概况 1.1 样本信息 病毒名...
网络安全实验四 熊猫烧香病毒剖析
最新发布
qq_64314976的博客
06-22 1251
打开wsyscheck的进程管理,可以看见系统打开了哪些进程,可以看见spcolsv.exe正在运行,定位它的位置,可以发现,“熊猫烧香”已经将自身复制到了系统目录C:\WINDOWS\system32\drivers\spcolsv.exe下,如下图所示。,运行该程序,“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件,我们可以安装熊猫烧香文件夹中的HA_Filemon软件,然后通过它对“熊猫烧香“样本运行情况进行跟踪。
母鸡下叫声电路
02-03
母鸡下叫声电路、电子技术,开发板制作交流
中班游戏:母鸡下.doc
09-12
【中班游戏:母鸡下】是一款专为幼儿园中班设计的教育游戏,旨在通过游戏的方式提升孩子们的身体协调能力和运动技巧,同时增强他们的团队合作意识和活动参与的乐趣。该游戏结合了体育活动与角色扮演,使得学习过程...
看母鸡下作文.doc
01-16
看母鸡下作文.doc
“公鸡下”.docx
11-25
“公鸡下”.docx
大班歌唱活动下啰.docx
11-18
【大班歌唱活动“下啰”】是一个旨在提升幼儿音乐素养和表演能力的教学计划,主要针对...这样的教学方式不仅让孩子们在娱乐中学到知识,还培养了他们的团队合作和自我表达能力,是早期教育中一种有效的音乐教学方法
病毒分析之熊猫烧香
Hades的博客
05-22 8468
病毒分析之熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...
第1篇:熊猫烧香之手动查杀
qq_55202378的博客
09-06 1452
手动查杀
记一次带有FSG壳的熊猫烧香病毒分析过程
richard1230的博客
04-02 5715
样本概况 样本信息 测试环境以及工具 分析目标 具体行为分析 0利用查壳工具查看 1.利用PChunter 2.手工清理 3.利用火绒剑进行主要行为分析 恶意行为的一个简要小结 4.脱壳 病毒恶意行为分析(OD结合IDA双剑合璧) 知识点扩展1: 知识点扩展1小结: 知识点扩展2 知识点扩展3 知识点扩展4(编辑函数标签:) 知识点扩展5(有关seh链的:) 知识点扩展6(Del...
熊猫烧香病毒分析
zlmm741的博客
06-11 2795
文章目录样本概况样本信息测试环境及工具分析目标具体行为分析初步分析病毒文件查看病毒主要行为详细分析病毒文件解决方案提取病毒特征手工查杀病毒编写查杀工具总结 样本概况 样本信息 病毒名称:spo0lsv.exe 样本大小:98816 bytes 所属家族:感染性病毒 (Virus)、蠕虫病毒 (Worm) MD5 值:3CE8412544B47D544357C5BE42FBE704 SHA1 值:23FC53530BAACCFC4E83E3A74ADB219958B8E665 CRC32:AFA1B975
[安全攻防进阶篇] 八.那些年的熊猫烧香及PE病毒行为机理分析
热门推荐
杨秀璋的专栏
08-13 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!技术路上哪有享乐,加油~
[病毒分析]熊猫烧香分析
anhui8496的博客
05-23 587
目录 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 2.具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 2.2 恶意代码分析 3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 3.2 手工查杀步骤 参考文献 致谢 1.样本概况 1.1样本信息 病毒名称:Worm.Win32.Fuja...
[病毒分析]熊猫烧香(上)初始分析
网络安全知识分享
03-03 1万+
熊猫烧香病毒分析(第一篇)一、病毒初始化二、PEID加壳检查三、IDA和OD的分析(1)使用IDA载入病毒样本(2)定位到0x0040CB7E位置(3)sub_403C98函数分析(4)打开IDA进入sub_403C98函数(5)sub_405360函数分析(6)sub_404018函数分析(7)loc_40CBBC功能分析四、总结 熊猫烧香样本下载 提取码:8189 一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程: 利用查壳工具检查病毒是否带壳 利用OD动态分析病毒 利用IDA
“熊猫烧香”病毒简介及特征
紫晶花园-计算机技术分园
08-15 2368
“熊猫烧香”病毒简介及特征  “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。      1:拷贝文件   
电脑技巧:个性化IE标题与隐藏文件方法
1. **瞒天过海**:这种方法是通过改变文件的扩展名来实现“隐藏”。将敏感文件的扩展名更改为系统中不存在的类型,例如`.ffh`或`.jjk`。这样,因为系统找不到能打开这种类型文件的应用程序,这些文件通常不会引起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值